Come riconoscere un buon responsabile in outsourcing per la conservazione digitale della documentazione sanitaria

 

1. Premessa

Nel numero 1/2011 on line della rivista Iged.it si è affrontato il delicato tema della scelta del responsabile in outsourcing della conservazione digitale1, fornendo degli spunti di riflessione sui criteri in base ai quali operare tale scelta e segnalando delle particolari accortezze da seguire nella redazione del relativo contratto.

In via preordinata e generale, si è cercato di riassumere brevemente i compiti del responsabile della conservazione e la sua funzione strategica per lo sviluppo di un sistema di conservazione sostitutiva (o meglio digitale) dei documenti, attraverso il richiamo agli articoli 44 e 44-bis del Codice dell’amministrazione digitale2 e alla Deliberazione CNIPA n. 11/2004, normativa tecnica attualmente in vigore, e in particolare all’art. 5, che attribuisce a tale figura professionale precisi compiti e specifiche responsabilità . Si intenda, pertanto, richiamato per intero il precedente articolo di cui questo vuole essere una specificazione e una sua attualizzazione a una particolare tipologia documentale: quella sanitaria.

2. Il responsabile della conservazione digitale di documentazione sanitaria

Come si è avuto modo di analizzare nell’articolo citato, le competenze generalmente richieste al responsabile della conservazione sono altamente specialistiche non solo sotto il profilo normativo, ma anche tecnico-organizzativo, proprio per la delicata e importante tipologia di mansioni che normalmente è chiamato a svolgere. Il livello di tali competenze aumenta e le stesse si diversificano e settorializzano nel caso in cui a essere conservate digitalmente siano le cartelle cliniche, o comunque la documentazione contenente dati sanitari. Pertanto, le cautele e le accortezze prescritte in via generale dall’art. 51 comma 2 del CAD3 assumono in questo ambito un significato ancora più denso e pregnante. La natura stessa di tale documentazione impone maggiori cautele e accortezze nella sua conservazione: ad esempio, la valenza giuridica delle cartelle cliniche, costituenti veri e propri atti pubblici certificativi muniti di fede privilegiata, necessita di procedimenti di conservazione che garantiscano l’immodificabilità  e l’irretrattabilità 4 del loro contenuto.

Ma c’è di più: i dati contenuti nella documentazione sanitaria e clinica sono a tutti gli effetti dei dati c.d. “supersensibili”, in quanto idonei a rivelare lo stato di salute, gli orientamenti sessuali nonchè i dati genetici dei pazienti. Da ciò, l’inevitabile interessamento della normativa sulla privacy al trattamento dei dati personali riguardanti lo stato di salute contenuti nelle cartelle cliniche5. Il Codice dell’Amministrazione Digitale, infatti, all’art. 51 comma 1, prevede delle specifiche regole tecniche da adottarsi ai sensi del successivo art. 71, a tutela dell’esattezza, disponibilità , accessibilità , ma soprattutto, per quel che qui rileva, l’integrità  e riservatezza dei dati, dei sistemi e delle infrastrutture.

Per gli stessi motivi anche il CAD, nella sua nuova formulazione, così come modificato dal D. Lgs. n. 235/2010, prevede espressamente la necessità  di un lavoro congiunto tra il responsabile della conservazione sostitutiva e il responsabile del trattamento dei dati personali nella gestione del relativo sistema di conservazione6. Nel caso della conservazione della documentazione sanitaria, poi, il binomio “conservazione-privacy” appare del tutto indissolubile. Infatti, il Garante Privacy si è occupato più volte della regolamentazione della dematerializzazione della documentazione sanitaria attraverso una serie di provvedimenti7. Più precisamente, sono state previste delle misure di sicurezza da adottare per la gestione della documentazione clinica testuale e iconografica ottenuta direttamente in formato digitale, e sono state impartite delle istruzioni tecniche specifiche per tutti i responsabili della conservazione che si trovino a dover gestire documenti contenenti dati sanitari.

Nè possono ignorarsi le “Linee guida per la dematerializzazione della documentazione clinica in diagnostica per immagini“ del Ministero della Salute8, sebbene mai formalmente emanate e frutto di continui aggiustamenti e integrazioni, che costituiscono un riferimento di sicuro interesse per chi deve operare sulla conservazione sostitutiva dei referti, delle immagini radiologiche e del referto radiologico strutturato. Tale documento, infatti, ha come obiettivo quello di “fornire ai Direttori Generali, Direttori Sanitari, Direttori/Responsabili dei Sistemi Informativi e dei Dipartimenti e U.O. di Diagnostica per Immagini, Radiologia, Medicina Nucleare, le linee guida per poter gestire la documentazione clinica testuale e iconografica, ottenuta direttamente in formato digitale, nel rispetto delle attuali normative“, e in particolare prescrive “direttive pratiche e di fattibilità  per realizzare la completa dematerializzazione dei referti e delle immagini prodotti nelle U.O. Diagnostica per Immagini digitali”.

Vengono, infatti, analizzati i molteplici temi riguardanti la dematerializzazione della documentazione clinica, richiamando le norme di riferimento, indicando le possibili soluzioni tecnologiche e organizzative per poterla avviare nel contesto dei reparti di Diagnostica per Immagini, prevedendo i passaggi ritenuti necessari per poter dematerializzare i vari documenti. Infatti, prima di applicare la dematerializzazione, si rende necessario effettuare per ogni particolare scenario una accurata analisi del rischio informatico e medico-legale per decidere quale soluzione adottare, che dovrà  conseguentemente portare alla stesura di un documento programmatico della sicurezza (DPS), come previsto dalla norma. Nelle Linee Guida citate, infatti, si pone in evidenza come i sistemi informativi adottati per realizzare la conservazione sostitutiva debbano non solo essere conformi alla normativa vigente, ma altresì possedere un grado di sicurezza adeguato all’ambito applicativo e alle informazioni trattate. Nel documento del Ministero della Salute si utilizza lo stesso formalismo delle linee guida IHE (Integrate the Healtcare Enterprise), gruppo di lavoro internazionale che, lavorando in sinergia con le associazioni legate alla sanità  (ACR, NEMA, EAR, ECR, SIRM, etc.), promuove l’uso di standard comuni già  definiti per la rappresentazione delle informazioni mediche, nei suoi diversi campi. L’obbiettivo di IHE è quello di migliorare la condivisione delle informazioni tra sistemi informativi in sanità , in modo tale che tutte le informazioni rilevanti alla cura del paziente siano disponibili al paziente e agli operatori sanitari e, più in generale, la rimozione delle barriere per una cura ottimale e sicura del paziente.

IHE coinvolge produttori e utenti dei sistemi informativi sanitari in un forum collaborativo per identificare e risolvere i problemi d’interoperabilità  in sanità 9.

La scelta del responsabile della conservazione10 deve essere fatta in maniera oculata, sia che venga scelto all’interno dell’azienda, sia che venga selezionato all’esterno della stessa, originariamente o in virtù di delega.

Nel caso poi in cui il procedimento di conservazione venga affidato “in tutto o in parte, ad altri soggetti, pubblici o privati”, così come espressamente previsto dall’art. 5 della delibera CNIPA, al comma 3, si concretizza una vera e propria esternalizzazione del processo, che permette di scongiurare il fatto che compiti prettamente tecnici, quali quelli propri del responsabile della conservazione, vengano eseguiti dal Direttore Sanitario o dal Responsabile dell’UO, responsabili fino al momento dell’archiviazione dei documenti, i quali difficilmente avranno le competenze specialistiche necessarie per far fronte a tali incombenze.

3. Criteri di selezione

La scelta del partner costituisce, dunque, un adempimento di pregnante importanza per l’Ente Pubblico o la clinica privata che, pertanto, dovranno tenere presenti alcune variabili e seguire precisi criteri di selezione, criteri che riprendono quelli già  esaminati in via generale nel precedente articolo, integrati e specificati in funzione della particolare tipologia documentale che viene portata in conservazione.

Gli elementi imprescindibili da valutare sono, oltre alla capacità  del fornitore di effettuare una prestazione altamente qualificata e all’esperienza nella conservazione sostitutiva in generale e, in particolare, per la specifica tipologia di documenti da conservare (in tal caso di documenti sanitari), anche la conoscenza e il rispetto della normativa privacy. Inoltre, anche in considerazione di quanto esposto sub 2 e della nuova formulazione dell’art. 44 del Codice dell’Amministrazione Digitale11, è indispensabile che il responsabile conosca e applichi perfettamente le misure di sicurezza per il trattamento dei dati sanitari, quali:

– l’adozione di idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e del trattamento (ad es., in relazione alla possibilità  di consultazione, modifica e integrazione dei dati, sottoscrizione del documento informatico, etc.);

il permettere il trattamento dei dati personali, anche di natura sensibile, solo a responsabili o incaricati dotati di credenziali di autenticazione che abbiano superato una procedura di autenticazione (strong authentication) relativa a uno specifico trattamento o a un insieme di trattamenti (ciò consente di fornire le garanzie rispetto all’accesso da parte dei vari operatori specificatamente autorizzati);

– l’adozione di una procedura per la gestione delle credenziali di autenticazione, che consistono in un codice per l’identificazione del responsabile o dell’incaricato associato a una parola chiave riservata (di almeno 8 caratteri alfanumerici) conosciuta solamente dal medesimo. Le credenziali di autenticazione non utilizzate da almeno sei mesi devono essere automaticamente disattivate dal sistema, anche nel caso di perdita della qualità  che consentiva al responsabile o all’incaricato l’accesso ai dati personali;

– l’assegnazione o associazione individuale a ogni responsabile o incaricato di una o più credenziali per l’autenticazione (che non può e non deve essere assegnato ad altri incaricati, neppure in tempi diversi) per l’accesso al programma informatico (con creazione di profili differenziati per l’accesso agli archivi e procedure di autenticazione distinte per i vari profili individuati);

– l’adozione di un idoneo sistema di back up e restore dei dati che garantisca il ripristino dell’accesso ai dati in caso di danneggiamento degli stessi o degli strumenti elettronici, in tempi certi compatibili con i diritti degli interessati e non superiori a sette giorni;

– l’effettuazione di un trattamento disgiunto dei dati idonei a rivelare lo stato di salute contenuti nelle banche dati dagli altri dati personali che permettono di identificare direttamente gli interessati (separazione logica dei dati idonei a rivelare lo stato di salute dagli altri dati personali trattati per scopi amministrativo-contabili);

– l’utilizzazione di software composti da una struttura modulare delle varie cartelle elettroniche, in modo da garantire la separazione fra le diverse categorie di dati rispetto alle finalità  del trattamento e ai soggetti che vi accedono12;

– l’individuazione di procedure tecnico-organizzative idonee a ridurre al minimo, nel processo di dematerializzazione dei referti, l’incidenza di operazioni manuali, in quanto caratterizzate da un elevato tasso di errore13.

Altro elemento da valutare nella scelta del partner è costituito, come già  visto, dall’ampiezza dei servizi offerti, tra cui non può non valutarsi la possibilità  di sviluppare strumenti di audit ex post degli accessi agli archivi contenenti i referti, sia nella fase di memorizzazione PACS, sia in quella di archiviazione storica, definendo un processo di management dei log che sia in grado di rappresentare con completezza – per una determinata profondità  temporale opportunamente commisurata alle esigenze di controllo sul corretto utilizzo della base di dati e degli accessi da parte del titolare del trattamento – l’insieme delle operazioni effettuate sui referti, nonchè di garantire l’inalterabilità  dei log memorizzati14.

Imprescindibile risulta anche, nel caso in questione, la valutazione delle garanzie tecnologiche e di sistema che il fornitore è in grado di offrire in relazione agli standard di sicurezza informatica, oltre che delle eventuali certificazioni sui servizi proposti in possesso del medesimo, delle referenze, del livello di professionalità  del personale, delle dimensioni e del grado di umidità  dei locali in cui saranno conservati gli eventuali documenti analogici non distrutti in seguito al processo di conservazione, dell’ eventuale accreditamento del fornitore ex art. 44-bis del CAD, così come modificato dal D.lgs. 235/201015, e del prezzo del servizio offerto.

Deve aggiungersi che costituisce altresì elemento discriminante nella scelta del responsabile della conservazione in outsourcing l’adozione di moduli organizzativi adeguati ai sensi del D. Lgs. n. 231 dell’8.6.2001, rubricato “Disciplina della responsabilità  amministrativa delle persone giuridiche, delle società  e delle associazioni anche prive di personalità  giuridica, a norma dell’articolo 11 della legge 29 settembre 2000, n. 300. (RESPONSABILITà€ AMMINISTRATIVA PERSONE GIURIDICHE)”.

4. Contenuti del contratto di outsourcing

Il contratto di outsourcing, così come precedentemente descritto, necessita di ulteriori specificazioni che si rendono imprescindibili nel caso in cui a essere conservata è la documentazione sanitaria.

In particolare, esso dovrà , altresì, delineare:

– le modalità  di conservazione dei documenti e le misure di sicurezza adottate ai sensi del Codice dell’Amministrazione Digitale e del Codice per la protezione dei dati personali;

– le regole di ingresso nell’archivio, prevedendo un accesso riservato ai soli utenti che si identificano (ad esempio, mediante specifici ID e Password), e diversi profili di autorizzazione per l’accesso agli archivi e procedure di autenticazione distinte per i vari profili individuali;

– l’utilizzazione di una archiviazione crittografata o, in alternativa, l’impiego di forme di anonimizzazione dei dati identificativi;

– la tracciabilità  degli accessi e delle operazioni effettuate (accountability);

– protocolli di comunicazione sicuri con standard crittografici per la comunicazione elettronica tra diversi titolari in un FSE (Fascicolo Sanitario Elettronico).

Per quanto attiene, più in particolare, i referti on line, è necessario che il contratto preveda:

1protocolli di comunicazione sicuri, basati sull’utilizzo di standard crittografici per la comunicazione elettronica dei dati, con la certificazione digitale dell’identità  dei sistemi che erogano il servizio in rete (protocolli https ssl Secure Socket Layer);

2 – tecniche idonee a evitare la possibile acquisizione delle informazioni contenute nel file elettronico nel caso di sua memorizzazione intermedia in sistemi di caching, locali o centralizzati, a seguito della sua consultazione on-line;

3 l’utilizzo di idonei sistemi di autenticazione dell’interessato attraverso ordinarie credenziali o, preferibilmente, tramite procedure di strong authentication;

4 la disponibilità  limitata nel tempo del referto on-line (massimo 45 gg.);

5 la possibilità , da parte dell’utente, di sottrarre alla visibilità  in modalità  on-line o di cancellare dal sistema di consultazione, in modo complessivo o selettivo, i referti che lo riguardano;

6 – idonei sistemi di autenticazione e di autorizzazione per gli incaricati in funzione dei ruoli e delle esigenze di accesso e trattamento (ad esempio, in relazione alla possibilità  di consultazione, modifica e integrazione dei dati), prevedendo il ricorso alla strong authentication, con utilizzo di caratteristiche biometriche nel caso del trattamento di dati idonei a rivelare l’identità  genetica di un individuo;

7 la separazione fisica o logica dei dati idonei a rivelare lo stato di salute e la vita sessuale dagli altri dati personali trattati per scopi amministrativo-contabili;

8 – procedure che rendano immediatamente non disponibili per la consultazione on-line o interrompano la procedura di spedizione per posta elettronica dei referti relativi a un interessato che abbia comunicato il furto o lo smarrimento delle proprie credenziali di autenticazione all’accesso al sistema di consultazione on-line, o altre condizioni di possibile rischio per la riservatezza dei suoi dati16.

1Come riconoscere un buon responsabile della conservazione digitale in outsourcing“, pag. 22 della rivista Iged.it on line n. 1/2011 (il contributo è liberamente scaricabile all’indirizzo http://www.iter.it/iged_online.htm).

2 Art. 44. Requisiti per la conservazione dei documenti informatici.

1. Il sistema di conservazione dei documenti informatici assicura:

a) l’identificazione certa del soggetto che ha formato il documento e dell’amministrazione o dell’area organizzativa omogenea di riferimento di cui all’articolo 50, comma 4, del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445;

b) l’integrità  del documento;

c) la leggibilità  e l’agevole reperibilità  dei documenti e delle informazioni identificative, inclusi i dati di registrazione e di classificazione originari;

d) il rispetto delle misure di sicurezza previste dagli articoli da 31 a 36 del decreto legislativo 30 giugno 2003, n. 196, e dal disciplinare tecnico pubblicato in allegato B a tale decreto.

1-bis. Il sistema di conservazione dei documenti informatici è gestito da un responsabile che opera d’intesa con il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all’articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attività  di rispettiva competenza.

1-ter. Il responsabile della conservazione può chiedere la conservazione dei documenti informatici o la certificazione della conformità  del relativo processo di conservazione a quanto stabilito dall’articolo 43 e dalle regole tecniche ivi previste, nonchè dal comma 1 ad altri soggetti, pubblici o privati, che offrono idonee garanzie organizzative e tecnologiche.

Art. 44-bis. Conservatori accreditati

1. I soggetti pubblici e privati che svolgono attività  di conservazione dei documenti informatici e di certificazione dei relativi processi anche per conto di terzi ed intendono conseguire il riconoscimento del possesso dei requisiti del livello più elevato, in termini di qualità  e di sicurezza, chiedono l’accreditamento presso DigitPA.

2. Si applicano, in quanto compatibili, gli articoli 26, 27, 29, ad eccezione del comma 3, lettera a) e 31.

3. I soggetti privati di cui al comma 1 sono costituiti in società  di capitali con capitale sociale non inferiore a euro 200.000.

3 L’art. 51, comma 2, prescrive che “I documenti informatici delle pubbliche amministrazioni devono essere custoditi e controllati con modalità  tali da ridurre al minimo i rischi di distruzione, perdita, accesso non autorizzato o non consentito o non conforme alle finalità  della raccolta”.

4 Cfr. Telesio Perfetti, “La dematerializzazione dei documenti sanitari“, pubblicato su www.filodiritto.com

5 Non solo quindi assume rilevanza il Codice Privacy (D. Lgs. 196/2003), ma vanno considerati anche i successivi provvedimenti del Garante Privacy, nonchè la normativa comunitaria.

6 L’art. 44, comma 1-bis, del CAD prevede, inoltre, che il lavoro congiunto debba sussistere anche con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi.

7 I provvedimenti del Garante per la protezione dei dati personali relativi alla conservazione digitale della documentazione sanitaria sono: Provvedimento del 26 novembre 2009, “Dematerializzazione della documentazione clinica“; Provvedimento del 19 novembre 2009 contenente le Linee guida in tema di referti on-line; le Linee Guida 16 luglio 2009 disciplinanti il Fascicolo Sanitario Elettronico e il dossier sanitario.

8 L’ultima versione non definitiva che circola in rete risale al 22 marzo 2010.

9 La mission dell’IHE viene esaurientemente esplicitata sul sito www.ihe-italy.org.

10 Numerosi sono infatti i profili di responsabilità  non solo per colui che viene nominato Responsabile, ma anche per colui che lo sceglie, in quanto, nel caso di selezione sbagliata, si possono profilare due tipi di responsabilità : per “culpa in eligendo“, se il responsabile è palesemente inaffidabile, e per “culpa in vigilando“, se il titolare non ha vigilato sul corretto trattamento che il responsabile designato ha fatto dei dati personali forniti, nell’ipotesi in cui si tratti di conservazione digitale di documentazione sanitaria, come nel caso che ora ci interessa.

11 Ricordiamo che il nuovo art. 44 del CAD prescrive che il responsabile che gestisce il sistema di conservazione deve necessariamente operare d’intesa “con il responsabile del trattamento dei dati personali di cui all’articolo 29 del decreto legislativo 30 giugno 2003, n. 196, e, ove previsto, con il responsabile del servizio per la tenuta del protocollo informatico, della gestione dei flussi documentali e degli archivi di cui all’articolo 61 del decreto del Presidente della Repubblica 28 dicembre 2000, n. 445, nella definizione e gestione delle attività  di rispettiva competenza”.

12Tali prescrizioni sono delle Misure di sicurezza per il trattamento dei dati sanitari in conformità  e rispondenza al D. Lgs. n. 196 del 30/6/2006, contenute nel Codice Privacy e nel relativo Allegato B (Disciplinare tecnico in materia di misure di sicurezza), oltre che negli specifici provvedimenti del Garante in materia.

13 Così come prescrivono le Linee guida in tema di referti on-line, contenute nel Provvedimento del Garante Privacy del 19 novembre 2009.

14Così come prescritto dal Provvedimento del Garante per la protezione dei dati personali del 26 novembre 2009.

15Secondo quanto stabilito dalla norma citata, i soggetti pubblici e privati che svolgono attività  di conservazione dei documenti e di certificazione dei relativi processi, possono accreditarsi presso il DigitPa per conseguire il riconoscimento del possesso dei requisiti di livello più elevato in termini di qualità  e sicurezza.

16 Linee Guida in tema di referti on line, adottate con Provvedimento del Garante per la protezione dei dati personali del 19 novembre 2009.